• Tweet

Expertos del IT de seguridad han detectado un ataque hack basado en malware, que intenta obtener acceso no autorizado a redes de dominios específicamente atacados.

La firma de seguridad MessageLabs, que descubrió el ataque, explicó que el troyano es dirigido solamente a un pequeño número de direcciones de correo electrónico - 17 en éste caso -, en lugar de enviarlo a tantos destinatarios como sea posible.

Los correos electrónicos infectados fueron transmitidos explícitamente, a una lista de destinatarios de solamente cuatro dominios, lo que sugiere que los hackers usaron malware para espionaje industrial.

El ataque está diseñado para explotar una vulnerabilidad en Microsoft Word, causada por un buffer overflow al manejar nombres macro. Un documento en Word, que contiene un nombre macro largo, desborda el buffer, permitiendo que el troyano embebido se ejecute (ver Microsoft Security Bulletin MS03-050).

Utilizando el contenido del texto, potencialmente relevante para la audiencia objetivo, el correo electrónico anima a los destinatarios a abrir un documento en Word adjunto que pretende proporcionar información adicional.

Este documento contiene un paquete troyano UPX embebido, que comprime el tamaño del archivo .exe del malware para dificultar la detección a los softwares antivirus.

La mayoría de los correos electrónicos fueron limitados a direcciones en una organización internacional particular, que funciona en el área global de la seguridad. Esta es la segunda ocasión que MessageLabs ha interceptado ataques dirigidos a ésta organización en el último mes.

"La motivación tras las nuevas amenazas en el correo electrónico de hoy, son más peligrosas que los métodos tradicionales de ataque a gran escala", dijo Mark Sunner, oficial principal de tecnología en MessageLabs.

"Los nuevos métodos criminales muestran una preferencia para seleccionar un objetivo en particular para atacar, un individuo o una organización, con fines financieros o competitivos".

"Los arquitectos detrás del ataque troyano que estamos atestiguando, apuntan a un robo de la información confidencial del corporativo y de propiedad intelectual".

Sunner agregó, que algunos filtros basados en el contenido, pueden llegar a reconocer un nombre macro malformado o una condición a explotar similar, dentro de tal documento; y por lo tanto remover la macro y "eliminar" el exploit.

Sin embargo, alertó, que hay algunos exploits de buffer overflow encontrados en documentos similares de Word - tales como el exploit VBE - que no pueden ser removidos con seguridad, ya que es siempre más eficiente descargar el documento entero.

"El remover el exploit puede dejar el malware embebido, presente en el documento", alertó Sunner.

De acuerdo a un análisis de tendencias de MessageLabs, ha habido una ocurrencia gradual de los ataques dirigidos a correos electrónicos contra negocios y organizaciones en el último año. La National Infraestructure Security Coordination Center del Reino Unido también publicó una alerta sobre la amenaza industrial que plantean este ataque, a los gobiernos y grandes corporaciones.